• No results found

Meld. St. 41(2020 – 2021)Melding til Stortinget

N/A
N/A
Info
Nedlasting
Protected

Academic year: 2022

Share "Meld. St. 41(2020 – 2021)Melding til Stortinget"

Copied!
106
0
0

Laster.... (Se fulltekst nå)

Fulltekst

(1)

Særskilt vedlegg: Meddelte vassdragskonsesjoner, tillatelser meddelt i 2014

Meld. St. 41

(2020 – 2021) Melding til Stortinget

Datatilsynets og Personvernnemndas årsrapportar for 2020

www.publikasjoner.dep.no Telefon: 22 24 00 00

Publikasjonane er også tilgjengelege på www.regjeringen.no

Omslagsillustrasjon: Colourbox

Trykk: Tryggings- og serviceorganisasjonen til departementa – 08/2021

MILMERKET TRYKKSAK

20 4 1 De p M e d i a 04 46

(2)
(3)

Meld. St. 41

(2020 – 2021) Melding til Stortinget

Datatilsynets og Personvernnemndas

årsrapportar for 2020

(4)
(5)

1 Innleiing frå Kommunal- og

moderniseringsdepartementet 5 1.1 Personvern i ein pandemisituasjon 5 1.2 Ansvarleg bruk av

personopplysningar ... 6 1.3 Gjenbruk av personopplysningar

i forvaltninga ... 7 1.4 Personvernkommisjonen ... 8 1.5 Utvida verkeområde for

personopplysningsloven ... 9 2 Merknader frå Kommunal- og

moderniseringsdepartementet til Datatilsynets årsrapport ... 9 2.1 Korleis koronapandemien har

påverka verksemda til

Datatilsynet ... 9 2.2 Etablering av regulatorisk

sandkasse for personvern og KI ... 10 2.3 Barn, unge og utdanning ... 11

2.4 Datatilsynets nasjonale

samarbeidsrelasjonar ... 12 2.5 Internasjonalt samarbeid ... 13 3 Merknader frå Kommunal- og

moderniseringsdepartementet til Personvernnemndas

årsrapport ... 14 4 Administrasjon og ressursar ... 16 4.1 Datatilsynets budsjett og

rammevilkår ... 16 4.2 Budsjettet og rammevilkåra til

Personvernnemnda ... 18 Vedlegg

1 Datatilsynets årsrapport for

2020 ... 19 2 Årsmelding 2020

Personvernnemnda ... 93

(6)
(7)

(2020 – 2021) Melding til Stortinget

Datatilsynets og Personvernnemndas årsrapportar for 2020

Tilråding frå Kommunal- og moderniseringsdepartementet 26. august 2021, godkjend i statsråd same dagen.

(Regjeringa Solberg)

1 Innleiing frå Kommunal- og moderniseringsdepartementet

Til liks med for resten av verda var 2020 eit spesi- elt år for Datatilsynet og Personvernnemnda.

Koronapandemien har prega begge verksemdene, om enn i ulik grad. Nedstenginga av samfunnet våren 2020 påverka i hovudsak arbeidsforma til Personvernnemnda, ved at nemnda måtte gjen- nomføre møta sine digitalt. For Datatilsynet har konsekvensane av pandemien hatt svært mykje å seie for det faglege arbeidet til tilsynet og priorite- ringane det har måtta gjere i meldingsåret, fordi det oppstod ulike personvernproblemstillingar som følgje av pandemien.

Overgangen til personopplysningsloven 2018, som gjennomførte EUs personvernforordning (for- ordning 2016/679) i norsk rett, pregar framleis verksemda til Datatilsynet og Personvernnemnda.

Generelt er det større merksemd i samfunnet om personvernrettar og -plikter enn det var for berre nokre år sidan. Dette viser seg mellom anna ved at både Datatilsynet og Personvernnemnda i mel- dingsåret har opplevd ein auke i saksomfanget, og at fleire av sakene er blitt meir komplekse.

1.1 Personvern i ein pandemisituasjon Koronapandemien er den største krisa som har ramma landet sidan den andre verdskrigen. Ned-

stenginga av Noreg 12. mars 2020 kravde at vi som samfunn måtte tenkje nytt rundt korleis vi skulle handtere ulike oppgåver. Digitale verktøy vart tekne i bruk i mykje større grad enn tidlegare og omfatta mellom anna løysingar for heimekon- tor, videomøte og -konferansar, fjernundervisning og digitale legekonsultasjonar. Det er positivt at samfunnet klarte å omstille seg raskt. Høg grad av internettilgang og breibandsdekning til norske heimar, digital modnad og høg kompetanse i det norske folk har vore sentralt. Samtidig har den raske digitaliseringa medført utfordringar for per- sonvernet (sjå også omtale i pkt. 2.1).

Personopplysningsvernet gjeld i krisetider òg, og personvernforordninga er meint å vere fleksibel nok til å fungere i unntakssituasjonar. I personvern- regelverket står for eksempel vurderinga av nød- vendigheit og samhøve sentralt. Forutan at det bestemte tiltaket må vere nødvendig for å oppnå eit legitimt formål, må behovet for tiltaket vegast opp mot dei negative konsekvensane det kan få for per- sonvernet til den enkelte. Ein slik balansetest vil kunne få ulikt utfall avhengig av om ein er i ein nor- malsituasjon eller ein krisesituasjon.

Sjølv om personvernregelverket tek høgd for ei fleksibel tilnærming, kan det i praksis vere utfordrande å vurdere personvernkonsekvensar og samhøve. Særleg vil dette vere tilfelle når det dreier seg om nybrottsarbeid, som i tillegg må gje- rast i eit raskt tempo. I ein krisesituasjon må slike

(8)

vurderingar ofte gjerast betydeleg raskare enn kva som elles ville ha vore ideelt.

Tidsnød som følgje av pandemisituasjonen kan ha ført til at fleire ikkje har rokke å gjere tilstrek- kelege risikovurderingar knytte til personvern og informasjonssikkerheit før ulike digitale løysingar er tekne i bruk. Der vurderingane ikkje har vore grundige nok, er det viktig at desse blir gjorde etter kvart som samfunnet går tilbake til norma- len. Blir det konkludert med at personvernulem- pene er uakseptabelt høge i ein normalsituasjon, må bruken av personopplysningar avsluttast.

Slike vurderingar er ikkje berre nødvendige for å oppfylle krava etter personvernregelverket, men også for å ta i vare den tilliten brukarane har til digitale løysingar i tida framover.

1.2 Ansvarleg bruk av personopplysningar Samfunnet blir stadig meir avhengig av at det blir utvikla digitale tenester, og mange slike tenester føreset behandling av personopplysningar. I lys av dette er regjeringa oppteken av å leggje til rette for ansvarleg bruk av personopplysningar.

Analyse av personopplysningar kan brukast til å forenkle og automatisere tenester. Brukt rett er dette eit gode som kan medverke til å spare både tid og pengar. Samtidig kan dataanalysar gjorde av ukjende aktørar i det skjulte bli brukte til å mani- pulere enkeltindivid, for eksempel til å kjøpe eit produkt eller til å ha ei bestemt politisk oppfat- ning. Bruk av personopplysningar til å påverke demokratiske val viskar ut skiljet mellom person- og forbrukarvern og grunnleggjande borgarrettar, og kan på denne måten utgjere ein trugsel mot demokratiet. Forretningsmodellar som byggjer på persontilpassa digitale tenester, der både aktørar og metodar er ukjende og ugjennomtrengjelege for dei fleste, kan påverke rammevilkåra for mei- ningsbryting òg. Når individ på eit einsidig vis blir eksponerte for meiningar som samsvarer med deira eigne, blir det skapt digitale ekkokammer.

Dette har danna grobotn for fenomen som «falske nyheiter» og «alternative fakta», som over tid kan svekkje tilliten til etablerte medium. Ekkokammer kan òg leggje ein dempar på open meiningsbry- ting, som er ein viktig føresetnad for eit fritt, demokratisk samfunn. Slik kan analysar og auto- matisert behandling av personopplysningar få store konsekvensar for samfunnsutviklinga.

Aktørar som behandlar personopplysningar, har plikt til å sikre at opplysningane er korrekte.

Særleg når analysar baserer seg på data innsamla frå fleire kjelder, kan dette vere utfordrande. Tilsy- nelatande likeverdige opplysningar kan bety for-

skjellig ting i ulike samanhengar. Skilnader og skeivskapar kan forsterkast av algoritmar i auto- matiserte løysingar. Feilaktige faktagrunnlag kan få negative konsekvensar for dei som desse ved- kjem. Er det feil i datasetta som inngår i ein ana- lyse, kan dette føre til uriktige avgjerder. Sjølv der dataa isolert sett er korrekte, kan dei gje eit urett- ferdig eller diskriminerande resultat, for eksem- pel fordi algoritmane inneheld historiske skeiv- skapar. Feila kan vere vanskelege å oppdage.

Kunstig intelligens (KI) er ein sentral del av dataøkonomien og kan hjelpe oss med å løyse kompliserte utfordringar. I bruken av KI er det mellom anna viktig å vurdere om algoritmen kan føre til diskriminering, og eventuelt setje i verk til- tak for å redusere risikoen for dette. Etiske vurde- ringar i forkant vil òg kunne få betydning for om KI-løysingar medverkar til å oppfylle FNs bere- kraftsmål.

Profilering, basert på algoritmar og KI, kan gje betre persontilpassa tenester. Samtidig kan det auke risikoen for utilsikta og ulovleg forskjellsbe- handling. Når tenester i større grad blir individua- liserte, står forbrukarane i fare for å bli utsette for ulike former for diskriminering. Algoritmebaserte annonseringssystem kan innrettast på måtar som gjer at annonsar, for eksempel jobbannonsar, berre blir viste for visse persongrupper, slik at andre reelt sett blir ekskluderte og potensielt utsette for diskriminering. Gode datasett og å vere open om korleis algoritmar fungerer, er viktig for å unngå denne typen usakleg forskjellsbehand- ling.

I januar 2020 la regjeringa fram Nasjonal stra- tegi for kunstig intelligens, der regjeringa fremjar prinsipp for ansvarleg utvikling og bruk av KI.

Vidare var eit av tiltaka i strategien å etablere ein regulatorisk sandkasse for personvern og KI i Datatilsynet. Ein regulatorisk sandkasse er eit lukka miljø der moglegheiter kan utforskast og løysingar kan utviklast og testast med kunnig rett- leiing frå ei tilsynsmyndigheit. I desember 2020 opna den regulatoriske sandkassen for ansvarleg og etisk bruk av KI i Datatilsynet. Her skal verk- semdene bli rettleidde i å handtere krava som føl- gjer av personvernregelverket. Datatilsynet skal få auka forståing for nye teknologiske løysingar og medverke til å identifisere moglege risikoar tidleg i utviklingsprosessar. Målet er at dei ende- lege løysingane tek i vare personvernet på ein god måte. Både enkeltindivid og samfunnet tener på at innovative løysingar blir utvikla innanfor ansvar- lege rammer. Arbeidet med å etablere den regula- toriske sandkassen i Datatilsynet er nærmare omtalt i punkt 2.2.

(9)

Personopplysningar er ein viktig ressurs, og rett bruk kan gje vinstar både for den enkelte og for samfunnet som heilskap. Samtidig er person- vern ein menneskerett, verna av den europeiske menneskerettskonvensjonen og Grunnlova. I Meld. St. 22 (2020–2021) Data som ressurs – Data- drevet økonomi og innovasjon la regjeringa fram nasjonale prinsipp for deling og bruk av data. Eitt av prinsippa er at deling og bruk av data skal skje slik at grunnleggjande rettar og fridommar blir respekterte og norske samfunnsverdiar bevarte.

Det er viktig at bruken av personopplysningar skjer innanfor rammene av lovverket og det som er etisk forsvarleg. Dette er dessutan ein føreset- nad for å skape den tilliten som er nødvendig for at den enkelte skal vere villig til å dele opplysnin- gar om seg sjølv – tillit både offentleg og privat sektor er avhengig av. Forbrukarane kan få styrkt tillit til næringslivsaktørar som viser at dei tek i vare personvern og informasjonssikkerheit, og at dataa blir behandla innanfor ansvarlege rammer.

Slik kan ivaretaking av personvern utgjere eit kon- kurransefortrinn i den datadrivne økonomien.

1.3 Gjenbruk av personopplysningar i forvaltninga

Personopplysningar skal berre samlast inn for spesifikke, uttrykkjeleg angjevne og rettkomne formål og ikkje vidarebehandlast på ein måte som ikkje samsvarer1 med desse innsamlingsformåla.

Dette blir kalla prinsippet om formålsavgrensing og er nedfelt i personvernforordninga. Samtidig opnar regelverket for unntak. Ein bruk av person- opplysningar til nye formål som ikkje samsvarer med dei opphavlege, kan mellom anna følgje av nasjonal rett, føresett at den nye bruken er nød- vendig og samhøvande for å sikre nærmare bestemte samfunnsomsyn.2 Dei siste åra har det komme stadig fleire ønske frå forvaltninga om å dele og nytte personopplysningar til nye formål, i tillegg får lovverket stadig nye heimlar som opnar for utveksling av teiepliktige personopplysningar mellom forvaltningsorgan.

Ofte er gjenbruk av personopplysningar ikkje berre praktisk for oppgåveløysinga til forvalt- ninga, men for dei registrerte sjølve òg. «Berre éin gong»-prinsippet vart fastslått i Meld. St. 27 (2015–2016) Digital agenda for Norge – IKT for en

enklere hverdag og økt produktivitet. Prinsippet står også sentralt i digitaliseringsstrategien til regjer- inga, Én digital offentlig sektor 2019–2025. I prin- sippet ligg at forvaltninga skal bruke opplysningar om att i staden for å spørje brukarane på nytt om informasjon dei allereie har gjeve frå seg. Prinsip- pet vil kunne medverke til å utvikle ein meir effek- tiv og brukarretta offentleg sektor, mellom anna i samband med behandlinga av enkeltsaker. Det vil òg kunne medverke til betre og meir samanheng- ande innbyggjartenester.

I fleire tilfelle er formålet med deling av opp- lysningar knytt til kontrollen forvaltninga har med bruken av offentlege tilbod eller tenester. Etter folketrygdloven har for eksempel Arbeids- og vel- ferdsetaten omfattande tilgang til informasjon frå både offentlege og private register, utan hinder av teieplikt, til bruk i kontrollarbeidet sitt. Etaten kan gjennomføre stadlege kontrollar for å innhente informasjon og har samtidig heimel til å masseinn- hente opplysningar i kontrollaugneméd. Toll- etaten òg har vide heimlar til å innhente og behandle personopplysningar, irekna helseopplys- ningar, for kontrollformål. Det same gjeld skatte- etaten. Samla opnar lovverket ein relativt omfatt- ande tilgang til å utveksle personopplysningar mellom forvaltningsorgan til bruk i kontrollaugne- méd. Dette er ikkje berre praktisk, men ofte den einaste måten forvaltninga kan gjennomføre ein reell og effektiv kontroll.

Sjølv om deling og gjenbruk av personopplys- ningar har fleire fordelar, kan det òg føre til at bor- garane får mindre oversikt over kva etatar som behandlar opplysningar om dei, og til kva formål.

Opplysningane kan bli brukte på måtar den enkelte ikkje hadde førestilt seg da opplysningane vart innsamla.

Eit sentralt omsyn bak personvernregelverket, og teiepliktsreglane, er ivaretakinga av tillit. Tradi- sjonelt har norske innbyggjarar hatt stor tillit til det offentlege. Tillit er viktig for at borgarane skal vere villige til å gje frå seg nødvendig informasjon i møte med forvaltninga. I arbeidet med å utvikle ei meir effektiv og digital forvaltning er det svært viktig å byggje opp under den eksisterande tilli- ten. Regjeringa er mellom anna oppteken av at det blir gjennomført, og dokumentert, gode vurderin- gar av personvernkonsekvensar ved utarbeidinga av lovforslag om auka deling av personopplysnin- gar, særleg til kontrollformål.

Det må leggjast til rette for at borgarane i størst mogleg grad har informasjon om behand- linga av eigne personopplysningar. Det er viktig at borgarane har tilgang til informasjon om flyten av opplysningar og, i den grad regelverket opnar opp

1 Personvernforordninga art. 6. nr. 4 stiller opp moment som skal takast i betraktning ved vurderinga av om det nye for- målet samsvarer eller ikkje. Vidarebruk som samsvarer, er utan vidare tillaten.

2 Personvernforordninga art. 6 nr. 4, jf. art. 23 nr. 1.

(10)

for det, moglegheita til å utøve kontroll over bru- ken av eigne opplysningar. I Meld. St. 22 (2020–

2021) Data som ressurs – Datadrevet økonomi og innovasjon går regjeringa inn for å greie ut ei løys- ing der borgarane kan få innsyn i eigne person- opplysningar i fleire offentlege system via éi felles innlogging. Om det går an å integrere utvalde pri- vate aktørar i løysinga, skal vurderast òg. Ei slik løysing vil kunne gjere det lettare for den enkelte å få meir samla oversikt over korleis personopp- lysningar om ein blir brukte. Ho vil òg kunne gjere det enklare å administrere bruken av eigne personopplysningar, som å samtykkje til vidare bruk av opplysningane til nye formål. Utgreiinga vil støtte opp under målsetjinga til regjeringa om at den enkelte skal ha størst mogleg råderett over eigne personopplysningar.

1.4 Personvernkommisjonen

Ivaretaking av personvernet til innbyggjarane er relevant på svært mange samfunnsområde. For å vite kvar dei store utfordringane er, og kvar det er behov for tiltak for sikre ivaretaking av personver- net, er det nødvendig å ha eit godt kunnskaps- grunnlag. I 2009 leverte Personvernkommisjonen utgreiinga si NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet. Rapporten peikte på ei rekkje utfordringar som er følgde opp på ulike vis.

Den teknologiske utviklinga har gått raskt sidan den førre personvernkommisjonen leverte utgreiinga si. Innsamlinga og bruken av personopp- lysningar har auka i takt med digitaliseringa, noko som har endra personvernutfordringane betydeleg.

Det er behov for eit oppdatert kunnskapsgrunnlag for ein opplyst og god debatt om ivaretaking av per- sonvernet i det digitale samfunnet.

For å leggje til rette dette kunnskapsgrunn- laget vart ein ny Personvernkommisjon opp- nemnd i statsråd 23. juni 2020. Kommisjonen skal etter planen levere utgreiinga si til regjeringa innan 1. juni 2022. Kommisjonen har eit breitt mandat, der den overordna oppgåva er å kart- leggje situasjonen for personvernet i Noreg og trekkje fram dei viktigaste utviklingstrekka og utfordringane. Sentrale punkt i mandatet3 er å – kartleggje gjenbruken av personopplysningar

til andre formål enn innsamlingsformålet i offentleg sektor

– vurdere utviklinga for personvernet i justis- sektoren

– kartleggje den reelle moglegheita forbrukar- ane har til å ta i vare eige personvern, og vur- dere ordningar for å styrkje personvernet i for- brukarsamanheng

– greie ut konsekvensar av innsamlinga, analyse og vidarebruk av personopplysningar i sosiale medium

– kartleggje korleis personvernet til barn og unge blir teke i vare, mellom anna i skole og barnehage, og foreslå tiltak for å styrkje den digitale forbrukarkompetansen til barn og – kartleggje korleis vidtrekkande eksponering unge

av barn og unge i sosiale medium påverkar per- sonvernet deira

Til grunn for mandatet ligg ei erkjenning av at potensialet i, men også presset på, innsamling og bruk av personopplysningar stadig utviklar seg.

Noreg er eit land med høg digital modnad i både befolkninga og næringslivet. Digitaliseringa med- verkar til auka velferd, auka produktivitet og øko- nomisk vekst i så å seie alle samfunnssektorar.

Det blir skapt nye næringar, og forbrukarane endrar vanar og behov i raskt tempo, noko vi sær- leg har sett etter utbrottet av koronapandemien tidleg i 2020.

Digitaliseringa av tenester inneber at det blir generert, registrert og behandla langt fleire per- sonopplysningar om den enkelte innbyggjaren enn tidlegare. Dette er mellom anna informasjon om geografisk rørslemønster, kontaktnett, helse, økonomi og interesser. Opplysningane kan stillast saman og analyserast. Det kan byggjast profilar om kvar enkelt som kan fortelje svært mykje om oss. Dette kan utfordre personvernet.

Samtidig gjev personopplysningar, samla inn via digitale tenester, eit unikt potensial for analyse og tenesteutvikling. Både offentlege og private verksemder kan bli meir effektive og yte betre tenester. Kvar bur dei som søkjer etter informa- sjon om influensavaksine eller behandling av omgangssykje? Analysar av slike søk på nett kan hjelpe helsemyndigheitene med å forstå helsesitu- asjonen til befolkninga raskare og betre. Datatra- fikkanalysar er viktige for at tilbydarar av elektro- nisk kommunikasjon skal kunne planleggje digital infrastruktur som vi er avhengige av. Transport- selskap kan analysere reisemønster for å planleg- gje kapasitet i kollektivtrafikken. Og finansinstitu- sjonar kan analysere handlemønstera til kundane og bruken deira av ulike betalingsmiddel for å utvikle tenestetilbodet. Myndigheitene kan setje

3 Personvernkommisjonens mandat kan lesast på https://

www.regjeringen.no/no/aktuelt/oppretter-ny-personvern- kommisjon/id2715312/

(11)

saman og bruke data til beste for innbyggjarane.

Personopplysningar kan òg brukast til tenesteut- vikling og optimalisering i den enkelte verk- semda, og dei har derfor ein betydeleg marknads- verdi. Det er heilt nødvendig å ta i vare ein god balanse mellom personvernet til innbyggjarane, behovet dei har for gode og framtidsretta tenester, og bruken av personopplysningar i teneste- og næringsutviklinga både i næringslivet og i offent- leg sektor.

Med dette som bakteppe skal Personvernkom- misjonen kartleggje og greie ut status, og foreslå tiltak, for å ta i vare personvernet på best mogleg måte innanfor gjeldande regelverk i tida framover.

Oppgåva er stor, og regjeringa har lagt vekt på å setje saman ein kommisjon med variert og brei kompetanse. Både offentleg og privat sektor er representerte, og kommisjonen har kompetanse frå både næringsliv, akademia og forvaltninga.

Regjeringa har store forventningar til at arbeidet kommisjonen gjer, kan medverke til ein god og opplyst debatt om ivaretakinga av personvernet til innbyggjarane i åra framover.

1.5 Utvida verkeområde for person- opplysningsloven

Personvernforordninga og personopplysningslo- ven med forskrift vart gjort gjeldande for Svalbard og Jan Mayen 1. juli 2020. For Svalbard gjeld ikkje personvernforordninga artikkel 56 og kapittel VII.

Datatilsynet kan ved enkeltvedtak gi fritak frå dei enkelte reglane i personvernforordninga og per- sonopplysningsloven viss dei stadlege tilhøva på Svalbard gjer det nødvendig. Sjå også omtale i Meld. St. 26 (2019–2020) pkt. 1.4.

2 Merknader frå Kommunal- og moderniseringsdepartementet til Datatilsynets årsrapport

2020 har vore eit annleis år for Datatilsynet. Per- sonvernproblematikk som oppstod som følgje av pandemien, gjorde at tilsynet måtte prioritere ann- leis enn planlagt. Samtidig har Datatilsynet utført vanlege oppgåver som behandling av enkeltsaker og avvikssaker, drive tilsynsverksemd, gjeve rett- leiing, komme med høyringssvar, handtert medie- saker mv. Datatilsynet har òg vidareført arbeidet med å tilpasse verksemda til nye oppgåver som oppstod da den felles europeiske personvernfor- ordninga vart gjennomført i norsk rett i 2018.

Forutan arbeidet med saksbehandling og kon- troll (nærmare omtalt i pkt. 4.1) har Datatilsynet i

2020 særleg prioritert koronarelaterte person- vernproblemstillingar, etablering av regulatorisk sandkasse for kunstig intelligens og personvern, barn, unge og utdanning og internasjonalt sam- arbeid.

2.1 Korleis koronapandemien har påverka verksemda til Datatilsynet

Koronapandemien har i stor grad påverka drifta av Datatilsynet i meldingsåret. Oppgåver oppstått som følgje av pandemien har teke mykje ressur- sar. Ein del av dette arbeidet har vore nybrottsar- beid som har kravd vanskelege avvegingar.

Ut frå alvoret i situasjonen da Noreg stengde ned i mars 2020, såg Datatilsynet nødvendigheita av å vise meir fleksibilitet og skjønn enn i ein nor- malsituasjon. Tilsynet valde mellom anna å ikkje handheve brott på 72-timarsfristen i personvern- forordninga for å melde inn brott på personopplys- ningssikkerheita. Fordi mange verksemder sleit økonomisk og var avhengige av statlege kompen- sasjonsmidlar, var Datatilsynet også svært forsik- tige med å påleggje gebyr for brott, særleg til min- dre bedrifter. Der det var nødvendig å bruke nye digitale tenester utan at det var tid til å gjere til- fredsstillande risikovurderingar, råda Datatilsy- net aktørar til å likevel utføre forenkla vurderingar og dokumentere desse. Departementet meiner det var nyttig at Datatilsynet la seg på ei pragma- tisk linje og tilpassa handhevinga av regelverket til pandemisituasjonen.

I april 2020 lanserte Folkehelseinstituttet (FHI) appen Smittestopp. Denne første appversjo- nen skulle medverke til smittesporing, analyse og modellering av smitteverntiltak og til forsking.

Appen samla mellom anna inn GPS-lokasjonen til brukarane, og opplysningane skulle lagrast i ein sentral database for forsking på pandemien.

Utover våren gjennomførte Datatilsynet tilsyn med Smittestopp. Tilsynet resulterte først i varsel om pålegg om å endre risiko- og sårbarheitsanaly- sen og protokollen (dokumentasjon av behand- lingsaktivitetane) i appen. I juni varsla Datatilsy- net FHI om mellombels forbod mot å behandle personopplysningar i appen. Datatilsynet meinte mellom anna at nytteverdien til appen ikkje var til- strekkeleg dokumentert, og at nødvendigheita av å bruke GPS-lokasjonsdata ikkje var godtgjord. I tillegg var Datatilsynet kritisk til at brukarane ikkje kunne velje å dele personopplysningar til berre eitt eller enkelte av fleire konkrete formål som appen var tenkt å ta i vare. Som følgje av var- selet valde FHI å stanse datainnsamlinga og å slette opplysningane som var samla inn, før Data-

(12)

tilsynet i juli gjorde vedtak om mellombels forbod.

I desember 2020 lanserte FHI ein ny versjon av Smittestopp. Den nye versjonen har berre smitte- og kontaktsporing som formål, og, som for den første versjonen av Smittestopp, er det frivillig å ta appen i bruk.

I meldingsåret oppretta Datatilsynet også mel- lom anna tilsynssak om lokasjonsbaserte SMS- varsel – ei tilsynssak som ikkje var avslutta da årsrapporten vart levert. Tilsynet har i tillegg gjeve fleire høyringsfråsegner om lov- og for- skriftsforslag utarbeidde i lys av pandemien, fleire med svært korte fristar.

Vidare har Datatilsynet vore oppteke av å gje god rettleiing om problemstillingar som oppstod på grunn av pandemien. Tilsynet har fått spørsmål om behandling av personopplysningar i arbeidsli- vet, digitale legekonsultasjonar, bruk av digitale verktøy i skolen mv. Heile 7 prosent av alle føre- spurnadene til rettleiingstenesta i 2020 gjaldt koronarelaterte personvernspørsmål. 70 prosent av desse var frå verksemder.

Særleg våren 2020 fekk Datatilsynet mange arbeidslivsrelaterte spørsmål. Arbeidsgjevarar lurte typisk på kva slags informasjon dei kunne gje opp om tilsette som var i karantene eller var koronasmitta. Arbeidstakarar, på si side, fortalde om til dels svært inngripande kontrolltiltak på arbeidsplassen, som løpande innsyn i e-post eller krav frå arbeidsgjevar om å ha på kameraet gjen- nom heile arbeidsdagen. Slike førespurnader er ikkje innkomne til Datatilsynet som formelle kla- gesaker. Tilsynet trur at dette har samanheng med at arbeidstakarar, trass i teieplikta til Datatil- synet, kan ha høg terskel for å varsle i frykt for negative reaksjonar frå arbeidsgjevar.

For å rå bot på det massive behovet for rettlei- ing oppretta Datatilsynet ei eiga temaside på data- tilsynet.no om koronarelaterte problemstillingar og personvern. Der vart det fortløpande publisert informasjon, artiklar og rettleiingar om mellom anna digitalisering og skole, digitale legekonsulta- sjonar, bruk av mobildata til befolkningsvarsling, besøksregistrering og smittesporing, retningslin- jer om innsamling og behandling av helsedata og lokasjonsdata og kontroll og handheving av regel- verket. Departementet ser det som positivt at Datatilsynet allokerte dei nødvendige ressursane til utettervend kommunikasjon om koronarela- terte personvernproblemstillingar.

Koronapandemien har ført til at digitaliseringa av samfunnet har skjedd i eit svært raskt tempo.

Isolert sett er dette bra. Samtidig påpeiker Datatil- synet at fleire av tiltaka som vart sette i verk da samfunnet stengde ned våren 2020, og/eller den

raske implementeringa av desse, ikkje nødvendig- vis ville vore akseptable i ein normalsituasjon.

Datatilsynet understrekar kor viktig det er at sam- funnet kjem tilbake til ein før-korona-tilstand.

Departementet deler denne oppfatninga. Tiltak som ikkje har vore tilstrekkeleg risikovurderte, må anten vurderast grundigare eller avsluttast.

Der bruken av nye digitale løysingar held fram, for eksempel i skolen, er det også viktig at dei som bruker løysingane, får nødvendig kompetan- seheving om personvern og informasjonssikker- heit.

2.2 Etablering av regulatorisk sandkasse for personvern og KI

Eit av tiltaka i Nasjonal strategi for kunstig intelli- gens (lansert januar 2020) var å etablere ein regu- latorisk sandkasse i Datatilsynet for ansvarleg kunstig intelligens (KI). I meldingsåret tildelte departementet Datatilsynet 3 mill. kroner til eta- blering av sandkassen. Sandkassen blir finansiert med øyremerkte midlar og skal vere i drift i mini- mum to år frå 2021.

KI gjev store moglegheiter for å utvikle inno- vative digitale løysingar. Samtidig kan bruken by på utfordringar for personvernet. Den overordna målsetjinga med den regulatoriske sandkassen er å stimulere til etisk og ansvarleg bruk av KI. Sand- kassen skal hjelpe aktørar med å rette seg etter personvernregelverket og utvikle personvern- vennlege KI-løysingar. I sandkassen skal Datatil- synet gje gratis rettleiing til utvalde prosjekt. Pro- sjekta som blir valde ut, skal vere innovative og nytte personopplysningar på nye måtar. Dei vil derfor medføre uvisse om korleis personvernre- gelverket kan etterlevast. Saman vil verksemdene og Datatilsynet kunne identifisere eventuelle utfordringar og uklarleikar i regelverket og komme fram til balanserte løysingar som tek i vare personvernet. Datatilsynet vil bruke erfaring- ane frå arbeidet til å lage rettleiingsmateriell.

Datatilsynet har vore oppteke av å sikre at den regulatoriske sandkassen er relevant for både offentlege og private aktørar. Tilsynet har drive eit vidfemnande kommunikasjonsarbeid om prosjek- tet og har i etableringsfasen bede om innspel via datatilsynet.no, gjennomført bilaterale møte og arrangert digitale workshops. Totalt fekk Datatil- synet rundt 60 innspel frå ulike eksterne aktørar i prosessen med å definere rammene og kriteria for sandkassen.

Den første søknadsrunden til sandkassen vart opna 1. desember 2020. I mars 2021 vart dei fire første prosjekta valde ut. Både offentleg og privat

(13)

sektor er representerte med prosjekt innan helse, velferd, arbeidsliv og utdanning i denne første pul- jen.Den regulatoriske sandkassen har fått stor og positiv respons frå både offentlege og private aktørar og frå akademia. Dette viser ei betydeleg interesse for å ta i bruk KI-løysingar, men at per- sonvernregelverket kan vere vanskeleg å imple- mentere i praksis. Slik uvisse kan avgrense tekno- logiutviklinga.

Ivaretaking av personvernet betyr ikkje nød- vendigvis at personopplysningar ikkje skal bru- kast, men at det skal skje på ein trygg og god måte. Departementet meiner at den regulatoriske sandkassen vil vere eit sentralt verkemiddel i Datatilsynets arbeid for å leggje til rette for ansvarleg bruk av personopplysningar. I sandkas- sen vil både Datatilsynet og dei deltakande verk- semdene få verdifull erfaring med å nytte person- vernreglane i møte med praktiske utfordringar.

Handlingsrommet i eit detaljert og vanskeleg regelverk kan utforskast innanfor trygge rammer, og erfaringane vil danne eit grunnlag for framtidig rettleiing.

Datatilsynet opplever aukande arbeidsmengd og må utnytte tildelte ressursar effektivt for å løyse dei lovpålagde oppgåvene sine best mogleg.

Å utforske nye verkemiddel og arbeidsformer er viktig for ei effektiv ressursutnytting. Erfaringane Datatilsynet gjer seg i sandkassen, vil vere eit vik- tig bidrag i så måte. Departementet følgjer arbei- det tett og med stor interesse.

2.3 Barn, unge og utdanning

Til liks med føregåande år har Datatilsynet i 2020 sett søkjelyset på personvernet til barn og unge.

Barn nyt eit særleg vern etter personvernregel- verket, mellom anna fordi det ofte er andre enn barna som bestemmer korleis opplysningane deira skal brukast. Datatilsynet påpeiker også i årsrapporten at der barn sjølve samtykkjer til behandling av personopplysningar, kan dei man- gle føresetnadene som trengst for å sjå for seg dei fulle konsekvensane av denne behandlinga. Dette gjer dei særleg sårbare.

Dei seinare åra har barnehagar og skolar i aukande grad teke i bruk digitale verktøy, både i læringssituasjonen og i kommunikasjonen med føresette. Trygg bruk av slike verktøy føreset god kunnskap om personvern og informasjonssikker- heit hos mellom anna leverandørar, kommunar, lærarar, elevar og føresette. Datatilsynet opplever samtidig eit aukande tal på avvikssaker om bru- ken av digitale verktøy i barnehage- og skolesek-

toren som følgje av manglande kunnskap og risiko- forståing.

Som ein konsekvens av koronapandemien er det teke i bruk ei rekkje nye digitale verktøy i sko- len. Anskaffing og iverksetjing av løysingar for fjernundervisning og kommunikasjon skjedde på svært kort tid, noko som igjen resulterte i mange avviksmeldingar. Avvika var ikkje berre forårsaka av dei tekniske løysingane i seg sjølve, men òg av manglande kunnskap hos dei som hadde begynt å bruke løysingane. I meldingsåret har derfor Data- tilsynet brukt mykje tid på å behandle avvikssaker og gje rettleiing om behandling av personopplys- ningar om barn.

Fleire kommunar har i 2020 opplevd brott på personopplysningssikkerheita i skolen. Noko av årsaka er truleg manglande risikovurderingar i forkant av at nye løysingar er tekne i bruk. Fleire av brotta skriv seg frå dårlege rutinar ved behand- ling av fortruleg adresse. Dette var tilfellet i den såkalla Vigilo-saka, som medførte at Bergen kom- mune vart pålagd eit gebyr for brott på 3 mill. kro- ner. Vigilo er ein app som mange kommunar har brukt for administrative formål og til kommunika- sjon mellom skole/barnehage og heimen. Ein feil ved oppdateringa av appen gjorde at adressa til barn med fortruleg adresse vart tilgjengeleg for uvedkommande (foreldre utan foreldreansvar).

Feilen kom av innlasting av informasjon frå Folke- registeret som så skreiv over manuelle endringar gjorde av kommunen. I vurderinga om å påleggje gebyr for brott la Datatilsynet mellom anna vekt på at Bergen kommune ikkje hadde etablert nød- vendige retningslinjer for bruk av appen.

Ei anna personvernutfordring, som Datatilsy- net trekkjer fram, er at marknadsleiande aktørar tilbyr gratis applikasjonar og programvarer til bruk i skolen. Tenestene verkar å vere gratis, men er sjeldan det. Tvert imot blir det ofte føresett at brukarane gjev ei motyting i form av eigne opplys- ningar, som selskapa sidan bruker i kommersiell samanheng. Fordi kommunen, skolen eller læra- rane vel løysingane, kan ikkje elevar og føresette velje dei bort. Dette betyr at dei i liten grad kan påverke tilgangen dei kommersielle aktørane har til personopplysningane deira, og korleis desse aktørane behandlar opplysningane.

Mange kommunar har teke i bruk løysingane frå Google i grunnskolen. Med grunnlag i spørs- mål frå føresette valde Datatilsynet i 2020 å sjå nærmare på tre kommunar som hadde teke i bruk Google Chromebook (berbar PC med operativsys- temet Chrome OS) og G Suite for Education (sky- teneste med digitale verktøy). Datatilsynet avdekte fleire manglar og retta kritikk mot kom-

(14)

munane. På bakgrunn av funna utarbeidde Datatil- synet også ei rettleiing til støtte for kommunar som ønskjer å ta i bruk tenestene frå Google i sko- len.Dei tre siste åra har Datatilsynet arrangert rundebordskonferansar om personvern og infor- masjonssikkerheit i skolen. Møtearenaen har mel- lom anna avdekt behov for å styrkje innkjøpskom- petansen hos kommunane, slik at dei kan anskaffe sikre og personvernvennlege løysingar. Hovudte- maet for rundebordskonferansen i 2020 var beho- vet for auka samarbeid mellom kommunar, inte- resseorganisasjonar og myndigheiter.

Det er Datatilsynets oppfatning at utviklinga i barnehage- og skolesektoren går i rett retning.

Samtidig står mykje att, mellom anna i form av kompetanseheving. Departementet meiner det er positivt at Datatilsynet er oppteke av å fremje gode løysingar for personvern i barnehage- og skolesektoren. Digitale verktøy kan medverke til betre tilrettelagd undervisning og større lærings- utbyte for den enkelte eleven. Samtidig er det vik- tig å sikre at digitaliseringa i skolen er i samsvar med gjeldande lover og reglar for personvern.

Kommunane har, i kraft av rolla si som skoleei- garar og behandlingsansvarlege, ansvar for å etterleve personvernregelverket. Kommunane må sørgje for å kjøpe inn personvernvennlege løysin- gar og setje i verk nødvendige tiltak for å ta i vare informasjonssikkerheita i skolen. Departementet deler Datatilsynets vurdering av at det er viktig å hjelpe kommunane for å setje dei betre i stand til å ta i vare dette ansvaret. Det er behov for samord- ning, koordinering og erfaringsutveksling. I 2020 la Kunnskapsdepartementet fram Handlingsplan for digitalisering i grunnopplæringen, med mellom anna mål om å styrkje personvernet og informa- sjonssikkerheita i skolen. Utdanningsdirektoratet er gitt ansvar for fleire av tiltaka i handlingspla- nen, og har utarbeidd ei informasjonsside om per- sonvern der også Datatilsynet sine rettleiingar til sektoren er presenterte. Eit av tiltaka er å setje ned ei ekstern ekspertgruppe for å greie ut peda- gogiske, juridiske, teknologiske og etiske pro- blemstillingar knytte til læringsanalyse og eigar- skapen til elevdataa. Vidare har Personvernkom- misjonen (omtalt nærmare i pkt. 1.4) mellom anna fått i mandat å kartleggje korleis personvernet til barn og unge blir teke i vare i Noreg, irekna ivare- taking av personvernet til barn i barnehage- og skolesektorane og bruken av «gratis» applikasjo- nar i skolane som blir betalt med personopplysnin- gane frå barna.

2.4 Datatilsynets nasjonale samarbeids- relasjonar

Datatilsynet har vid kontakt med nasjonale aktørar i både offentleg og privat sektor, av anten kortvarig eller langvarig art. I årsrapporten gjev Datatilsynet ei oversikt over den mest sentrale deltakinga si i nasjonale forum og samarbeid. I det følgjande blir nokre av desse omtalte.

Datatilsynet og Digitaliseringsdirektoratet har fleire overlappande ansvarsområde og samarbei- der om mellom anna rettleiingar for internkontroll og informasjonssikkerheit. På informasjonssik- kerheitsområdet har Datatilsynet i tillegg god dia- log med Norsk senter for informasjonssikring (NorSIS), Nasjonalt tryggingsorgan (NSM) og Den norske dataforening.

Også Nasjonal kommunikasjonsmyndigheit (Nkom) har ansvar som grensar til det Datatilsy- net har. Nkom fører tilsyn med ekomregelverket, som stiller opp spesialreglar for korleis ekom- leverandørane skal behandle personopplysningar.

Dette kan skape ein utfordrande grensegang mot personvernregelverket og føreset eit godt samar- beid mellom tilsynsmyndigheitene. Organa har derfor jamlege møte. Nkom samlar også aktørar innan e-signaturområdet i eit forum, der hovudte- maet er EU-kommisjonens forslag til forordning om mellom anna e-ID og e-signatur. Datatilsynet deltek i dette forumet.

I samband med arbeidet innan skole- og barne- hagesektoren samarbeider Datatilsynet med Utdanningsdirektoratet. Saman driv organa net- tressursen dubestemmer.no, med mål om å med- verke til at barn og unge lærer å ta kontroll over eigne personopplysningar og samtidig respektere andre sin personlege integritet. Som ledd i Datatil- synets arbeid med personvernet til barn og unge har tilsynet vidare intensivert samarbeidet med Kommunesektorens Organisasjon (KS). Formålet er å setje søkjelyset på arbeidet til kommunane med informasjonssikkerheit og personvern i sko- len. Datatilsynet deltek for eksempel som obser- vatør i SkoleSec-prosjektet4. Datatilsynet har dess- utan eit godt samarbeid med IKT-Norge, mellom anna om ivaretaking av personvernet til barn og unge. Tilsynet har for eksempel gjeve innspel om innebygd personvern i læringsteknologi (EdTech, educational technology).

4 Eit initiativ sett i gang av KS våren 2020 i form av eit forpro- sjekt som skal vurdere, prøve ut og evaluere ulike innsatsar og tiltak som både på kort og lang sikt vil styrkje innram- minga og sikringa av det digitale læringsmiljøet til elevar.

(15)

Framveksten av den datadrivne økonomien og store plattformselskap har gjort at personvern-, forbrukarvern- og konkurranseutfordringane overlappar enda meir. Datatilsynet har etablert eit godt samarbeid med Forbrukartilsynet og Kon- kurransetilsynet, med plan om å formalisere sam- arbeidet ytterlegare ettersom problemstillingane vil bli særleg viktige i åra framover.

I samband med etableringa av den regulato- riske sandkassen for personvern og KI har Data- tilsynet teke på seg ei koordineringsrolle for møte med Finanstilsynet og Arkivverket, som òg har eigne sandkasseprosjekt.

Det breie samarbeidet Datatilsynet har med ulike aktørar, viser at personvern er relevant på svært mange samfunnsområde, og at personvern- regelverket grensar til fleire lovverk. Behovet for å verne personopplysningar oppstår ikkje i eit vakuum. Spørsmål om korleis personvernet skal takast i vare, oppstår gjerne på grunn av ønske om å setje i gang tiltak som i ulik grad vil kunne utfor- dre personvernet. Ved at Datatilsynet samarbei- der med mange ulike aktørar, får tilsynet sjansen til å dele kunnskapen sin om personopplysnings- regelverket på eit tidleg stadium og starte dialog om korleis personvernet best kan takast i vare. Eit slikt breitt samarbeid gjer det også mogleg for Datatilsynet å fange opp og analysere trendar og tendensar, slik at det kan få eit godt overblikk over dei totale personvernutfordringane i samfunnet.

Dette er sentralt for at Datatilsynet skal kunne vere i forkant og allokere ressursar til rettleiing og anna utettervend verksemd der behovet er størst.

Det er formålstenleg at Datatilsynet arbeider breitt og overordna, i tillegg til å behandle enkelt- saker og avvikssaker – der brott på regelverket ofte allereie har skjedd. Departementet meiner difor at det er svært positivt at Datatilsynet har brei og god dialog med ei rekkje aktørar, i både offentleg og privat sektor.

2.5 Internasjonalt samarbeid

Internasjonalt personvernsamarbeid er sentralt for Datatilsynet. Fordi personvernforordninga skal tolkast likt i heile EØS-området, er det viktig at Datatilsynet har tett og god dialog med dei andre europeiske datatilsynsmyndigheitene.

Særleg deltakinga i Det europeiske person- vernrådet (Personvernrådet) er viktig5. Ei av Per- sonvernrådets viktigaste oppgåver er å gje ret- ningslinjer og utsegner om korleis personvernfor- ordninga skal tolkast og nyttast. Som i førre året har Datatilsynet i 2020 valt å ta ei aktiv rolle i arbeidet til rådet. I tillegg til å ha delteke på Per-

sonvernrådets månadlege plenumsmøte har tilsy- net delteke i alle dei tolv ekspertgruppene til rådet. Datatilsynet har òg fått i ansvar å leie arbei- det med å organisere Personvernrådets ple- numsmøte, for å gjere desse meir effektive.

Saker som vedkjem registrerte, behandlings- ansvarlege og/eller tilsynsmyndigheiter i fleire EØS-land, skal behandlast etter samarbeidsmeka- nismen i personvernforordninga. I 2020 vart Data- tilsynet i 320 grenseoverskridande saker identifi- sert som eit av datatilsyna desse sakene vedkom, og i 20 slike saker var det leiande datatilsyn. Sam- arbeidsmekanismen er viktig for å sikre ei harmo- nisert forståing av regelverket. Samtidig er behandlinga krevjande. Sakene føreset mykje koordinering mellom datatilsynsmyndigheitene, og det kan vere utfordrande å oppnå semje.

For at beskyttelsesnivået i EØS-området ikkje skal bli undergrave, stiller personvern- forordninga vilkår for overføring av personopp- lysningar til tredjeland. I Schrems II-dommen frå juli 2020 kom EU-domstolen til at EU-kommisjo- nens adekvansavgjerd, som tillét overføring av personopplysningar til mange amerikanske verk- semder etter Privacy Shield-rammeverket, var ugyldig. I avgjerda stilte EU-domstolen opp strenge vilkår for lovleg overføring av person- opplysningar til tredjestatar, noko som har skapt utfordringar og uvisse for svært mange verksem- der. I 2020 har Datatilsynet derfor prioritert å utarbeide rettleiingsmateriell om kva konse- kvensar avgjerda har for norske verksemder, og gjennomført dialogmøte og halde føredrag om tematikken.

Bindande verksemdsreglar (Binding Corpo- rate Rules, BCR)6 er eit anna rettsleg grunnlag for å overføre personopplysningar til tredjestatar.

Bindande verksemdsreglar må godkjennast av relevant nasjonal datatilsynsmyndigheit, etter å ha vore lagt fram for Personvernrådet slik at dei kan uttale seg. Det har teke tid å få på plass prosedyrar for behandlinga i rådet, og i meldingsåret la Datatilsynet fram den første nor- ske BCR-søknaden for Personvernrådet. Ved utgangen av 2020 hadde Datatilsynet totalt tolv

5 Rådet er eit uavhengig EU-organ, oppretta i samsvar med personvernforordninga. Det består av datatilsyna i EØS og Det europeiske datatilsynet (European Data Protection Supervisor) – datatilsynet for EU-organa. I tillegg deltek Europakommisjonen og EFTAs overvakingsorgan (ESA), med talerett. Som EØS-stat er Noreg, ved Datatilsynet, full- verdig medlem, men utan røysterett.

6 BCR er interne reglar for dataoverføring i multinasjonale selskap, eit konsern eller ei gruppe av føretak som utøver felles økonomisk verksemd.

(16)

opne søknader om godkjenning av bindande verksemdsreglar7 til behandling.

Departementet meiner det er positivt at Data- tilsynet også i 2020 har delteke aktivt i det euro- peiske personvernsamarbeidet. Dette gjev mog- legheit til å påverke den felleseuropeiske lovtol- kinga. Det er også viktig at Datatilsynet held seg oppdatert om rettsutviklinga i EØS. Internasjonalt personvernsamarbeid tek mykje ressursar hos Datatilsynet. Sidan gjennomføringa av person- vernforordninga i norsk rett i 2018 har departe- mentet årleg styrkt budsjettet til tilsynet. Formålet har mellom anna vore å setje Datatilsynet i stand til å delta i det europeiske personvernsamarbeidet på ein effektiv og formålstenleg måte. Departe- mentet vurderer det slik at Datatilsynet bruker ressursane godt. I 2019 oppretta tilsynet ein eigen internasjonal seksjon for å nærme seg arbeidet på ein systematisk, effektiv og heilskapleg måte.

Departementet er trygg på at Datatilsynet vil vere ein tydeleg og synleg bidragsytar i det europeiske personvernsamarbeidet framover òg.

I tillegg til å vere representert i Personvern- rådet deltek Datatilsynet i ei rekkje andre interna- sjonale personvernsamarbeid og -forum òg. Dei seinare åra er det, med framveksten av den datad- rivne økonomien, mellom anna blitt retta meir merksemd mot at personvern-, forbrukarvern- og konkurranseutfordringar overlappar. Personvern- rådet og det tilsvarande forumet for forbrukartil- synsmyndigheiter, Consumer Protection Coopera- tion Network, har sett i gang eit arbeid med mål om tettare samarbeid mellom datatilsyns- og forbrukar- tilsynsmyndigheiter. Arbeidet er mellom anna inspirert av Datatilsynets nære samarbeid med Forbrukartilsynet nasjonalt. Datatilsynet deltek elles i Digital Clearinghouse, ein møtearena for datatilsyns-, forbrukar- og konkurransetilsynsmyn- digheiter frå fleire land. Global Privacy Assembly er eit anna forum Datatilsynet deltek i, som ser på utfordringar i kryssingspunktet mellom person- vern, forbrukarvern og konkurranserett.

Departementet og Datatilsynet har i fleire år hatt god dialog om verdien av å delta i internasjo- nalt arbeid. Stadig aukande internasjonal handel og samhandling fører til større flyt av personopp- lysningar over landegrensene – også til land utan- for EØS. Det er avgjerande at personvernutfor- dringar blir handterte gjennom internasjonalt samarbeid og felles løysingar. Departementet er fornøgd med den framskotne rolla Datatilsynet

har teke internasjonalt og spesielt i det felleseuro- peiske personvernsamarbeidet.

3 Merknader frå Kommunal- og moderniseringsdepartementet til Personvernnemndas årsrapport

I meldingsåret tok Personvernnemnda imot i alt 24 klagesaker frå Datatilsynet, noko som er ein betydeleg auke frå 2019, da nemnda tok imot 16 klagesaker frå Datatilsynet. Som følgje av ein restanse frå 2019 har nemnda hatt totalt 27 saker til behandling i 2020. Éi av klagesakene vart trekt frå behandling av klagaren. Ni saker var ube- handla ved utgangen av 2020 og vart derfor over- førte til behandling i 2021. Totalt vart det gjort realitetsvedtak i 17 saker i løpet av året. Berre eitt vedtak er gjort med dissens. Datatilsynets vedtak vart endra i 9 av dei 17 sakene nemnda ferdigbe- handla i meldingsåret. Dette utgjer ein omgje- ringsandel på 47 prosent, ein auke samanlikna med ein omgjeringsandel på 25 prosent for 2019.

Samtidig er omgjeringsandelen for 2020 på nivå med tidlegare år. Med tanke på at Datatilsynet gjorde 683 vedtak i 2020, er det totale talet på omgjeringar i nemnda svært lågt.

I årsrapporten påpeiker leiaren av nemnda at 2020 har vore eit spennande, men krevjande år òg.

Koronapandemien har påverka arbeidet til nem- nda. Smittevernomsyn og reiserestriksjonar har vore til hinder for å gjennomføre fysiske møte, kurs og seminar. To nemndmøte vart avlyste, mens resten vart gjennomført digitalt. Person- vernnemnda har erfart at videomøte er eit godt alternativ til fysiske møte. Samtidig er fysiske møte, med samtalar og diskusjonar ansikt til ansikt, i nokon tilfelle å føretrekkje.

Totalt heldt nemnda åtte møte i meldingsåret.

Fleirtalet av sakene vart behandla og avgjorde i løpet av eitt nemndmøte. Dette var mogleg på grunn av god saksførebuing frå sekretariatet. Den gjennomsnittlege saksbehandlingstida er redu- sert til 2,3 månader, samanlikna med 5,6 månader i 2019. Samtidig er restansane i 2020 på same nivået som i 2019, noko som truleg må tilskrivast auken i talet på innkomne klager. Vedtaka til nem- nda blir publiserte i anonymisert form på person- vernnemnda.no og Lovdata.

Også i 2020 har Personvernnemnda hatt mål om å skrive fagleg gode vedtak, slik at desse kan gje rettleiing for seinare liknande saker. Departe- mentet deler vurderinga til nemnda av kor viktig det er at vedtaka er skrivne slik at dei eignar seg til framtidig rettleiing – for både publikum,

7 Berre fire datatilsyn i EØS har hatt fleire slike søknader til behandling.

(17)

behandlingsansvarlege og Datatilsynet. Departe- mentet meiner det er positivt at Personvernnem- nda har halde fram med innsatsen for å skrive fag- leg gode vedtak, samtidig som nemnda har klart å redusere saksbehandlingstida.

Til liks med dei to føregåande åra har Person- vernnemnda i meldingsåret merka overgangen frå personopplysningsloven 2000 til personopplys- ningsloven 2018. Nemnda har derfor også i 2020 måtta ta fatt på ny og delvis «upløgd mark» i fleire saker. Fleire av sakene har reist varierte og til dels nye problemstillingar. Eitt eksempel er PVN-2020- 118 der nemnda måtte ta stilling til om Datatilsy- nets irettesetjing av den behandlingsansvarlege etter personvernforordninga (artikkel 58 nr. 2 bokstav b) var eit enkeltvedtak som gav klagerett etter forvaltningsloven. Nemnda svarte bekreft- ande på dette spørsmålet.

Eit anna tilfelle der Personvernnemnda måtte ta stilling til ein ny type problemstilling, var i sak PVN-2020-129, der nemnda måtte vurdere forhol- det mellom ekomloven og personopplysningslo- ven. Meir konkret tok nemnda stilling til kva plikt behandlingsansvarlege har til å gje Datatilsynet den informasjonen tilsynet har etterspurt, i situa- sjonar der opplysningane som blir behandla, er regulerte i ekomloven. I den konkrete saka la nemnda til grunn at sjølv om ekomloven og kom- munikasjonsverndirektivet regulerer «lagring» og

«tilgang» til opplysningar i kommunikasjonsutsty- ret til ein brukar, er det ingenting i lova eller forar- beida som tilseier at reglane i personvernforord- ninga ikkje kjem i bruk når opplysningane som blir behandla, er personopplysningar. Som følgje av dette konkluderte nemnda med at den behand- lingsansvarlege plikta å gje Datatilsynet den infor- masjonen tilsynet hadde etterspurt.

Vidare trekkjer Personvernnemnda i årsrap- porten særleg fram PVN-2020-1310, ei sak som gjaldt korleis kommunane behandla personopp- lysningar i kartleggingsverktøyet Spekter – eit verktøy som mellom anna blir brukt for å kartleg- gje mobbing i skolen. Eitt av spørsmåla i saka var om Arendal kommune hadde tilstrekkeleg retts- leg grunnlag i opplæringslova, i tråd med krava etter personvernforordninga, for å bruke det digi- tale verktøyet. Datatilsynet hadde konkludert med at opplæringslova ikkje gav tilstrekkeleg rettsleg grunnlag. Personvernnemnda kom til det motsette resultatet. Nemnda konkluderte likevel med at det var andre reglar i personvernforord-

ninga som kommunen ikkje oppfylte. For å kunne halde fram med å bruke kartleggingsverktøyet meinte nemnda at kommunen måtte etablere internkontrolldokumentasjon og rutinar for å sikre at dei retta seg etter personvernforordninga.

Ein tilbakevendande tematikk som Person- vernnemnda har behandla dei siste åra, er saker med krav om sletting av personopplysningar frå ulike register eller saksmapper. Dette kan dreie seg om elevmapper, ulike typar journalar, perso- nalmapper eller barnevernssaker. I meldingsåret behandla nemnda fire saker av denne typen. Per- sonvernnemnda trekkjer òg fram at spørsmål om kor lovleg privat kameraovervaking er, er ein gjentakande sakstype, og at nemnda tok imot tre slike saker i 2020.

Ein annan tilbakevendande sakstype gjeld spørsmål om sletting av søkjetreff i Google (avin- deksering på nett). I meldingsåret behandla nem- nda to slike saker. Til samanlikning behandla nemnda tre slike saker i 2019, to i 2018, og éi i 2017.

Tendensen viser at saker om interesseavve- ginga mellom ytringsfridom og personvern er aktuelle. Forutan dei nemnde sakene om avindek- sering på nett var problemstillinga sentral i saka om Legelisten.no. Nemnda tok til å behandle saka i 2018 og gjorde vedtak i 2019. Hovudspørsmålet var om behandlinga av personopplysningar på Legelisten.no var i tråd med personopplysningslo- ven. Personvernnemnda kom (under dissens) til at Legelisten.no hadde behandlingsgrunnlag for å samle inn og publisere subjektive vurderingar av helsepersonell, utan at helsepersonell hadde ein generell reservasjonsrett for slike vurderingar.

Nemnda gjorde vedtaket sitt i januar i 2019. Som- maren 2019 tok Den norske legeforening (Lege- foreningen) ut søksmål mot staten v/Personvern- nemnda, med påstand om at vedtaket var ugyldig.

Oslo tingrett gav staten medhald hausten 2019.

Legeforeningen anka dommen, og i avgjerda til Borgarting lagmannsrett frå februar 2021 fekk staten også medhald. Retten uttalte at saka har prinsipielle sider og gjeld eit område som i avgrensa utstrekning har vore behandla av norske domstolar. Lagmannsretten hadde vore noko i tvil, og Legeforeningen vart friteken for ansvaret for sakskostnadene. I mars 2021 anka Legeforenin- gen saka inn for Høgsterett. Høgsteretts ankeut- val har tillate anken fremja. Lagmannsrettens avgjerd er derfor per august 2021 ikkje rettskraf- tig. Departementet legg til at Legeliste.no-saken ikkje berre er første gongen tolkinga norske myn- digheiter har gjort av personvernforordninga, blir prøvd rettsleg. Det er òg første gongen, sidan

8 https://personvernnemnda.no/pvn-2020-11 9 https://www.personvernnemnda.no/pvn-2020-12 10 https://www.personvernnemnda.no/pvn-2020-13

(18)

nemnda vart oppretta i 2001, at eit vedtak gjort av Personvernnemnda blir prøvd rettsleg.

I vurderinga si av framtidsutsiktene peiker Personvernnemnda på at samfunnet stadig blir meir digitalisert, og at den raske teknologiske utviklinga kan setje personvernet til den enkelte under press. Ivaretakinga av personvernomsyn føreset eit godt handhevingsapparat, irekna ei vel- fungerande klageordning med tilstrekkelege res- sursar.

Nemnda viser til at personvernforordninga gjev den enkelte styrkte rettar, samtidig som plik- tene for dei behandlingsansvarlege og databe- handlarane er skjerpte. Det er enno for tidleg å seie noko sikkert om kva effekt dette over tid vil få for saksmengda til Personvernnemnda. Nem- nda har hatt ein auke i saksomfanget på 50 pro- sent frå 2019 til 2020, men det er for tidleg å seie om dette kjem av normal variasjon eller er eit teikn på ein varig auke. Nemnda peiker likevel på at det generelt er eit større medvit om rettar og plikter i samfunnet, og at dette vil kunne påverke arbeidsmengda til nemnda òg. Nye og komplekse reglar, med stort behov for avklaring gjennom tol- king og grensegang, kan òg forventast å påverke saksmengda til nemnda. Slik nemnda oppfattar det, er det lite sannsynleg at saksmengda vil gå ned. Departementet deler denne vurderinga.

Vidare er vurderinga til departementet at fleire av sakene som nemnda har behandla dei siste åra, er meir komplekse og krevjande enn før.

Dette har samanheng med at nye juridiske pro- blemstillingar har oppstått som følgje av gjennom- føringa av personvernforordninga i norsk rett i 2018. Departementet er fornøgd med at nemnda held fram med å utarbeide kvalitativt gode vedtak, som eignar seg for rettleiing i liknande framtidige saker, samtidig som saksbehandlingstida er redu- sert. Restansane blir òg haldne låge. Samla sett er det vurderinga til departementet at nemnda gjer eit svært godt arbeid innanfor dei tildelte ressur- sane.

4 Administrasjon og ressursar

4.1 Datatilsynets budsjett og rammevilkår Datatilsynet hadde i 2020 ei budsjettramme på kap. 545 post 01 på 66,7 mill. kroner inkludert lønnskompensasjon. Det vart i tillegg overført 2,2 mill. kroner i ubrukte midlar frå 2019, slik at samla disponible midlar på kap. 545 post 01 i 2020 var 68,9 mill. kroner. I mai 2020 vart Datatilsynet tildelt 3 mill. kroner på kap. 541 post 22 for opp-

start av arbeidet med den regulatoriske sandkas- sen for personvern og KI (omtalt i kapittel 2.2). Til liks med føregåande år kjem budsjettauken av auka kostnader som følgje av at tilsynet fekk nye oppgåver ved gjennomføringa av personvernfor- ordninga i norsk rett i 2018. Dette er mellom anna kostnader til auka bemanning, kompetanseutvik- ling og auka deltaking i internasjonalt personvern- arbeid. Elles har Datatilsynet brukt tildelte midlar til generell drift av verksemda, som flytting til nye kontorlokale, vidareutvikling og drift av IKT-sys- tem, nye digitale kommunikasjonsløysingar og informasjons- og kommunikasjonstiltak.

Av utgiftene til tilsynet utgjorde 68,6 prosent utgifter til lønn og 31,4 prosent utgifter til drift.

Datatilsynet hadde i meldingsåret 50 faste og 8 mellombelse stillingar. I tillegg var sju studentar engasjerte i ressurseininga for rettleiing og enkel saksbehandling, som samla utgjorde 2,07 årsverk.

På bakgrunn av turnover i løpet av året og lengre periodar med ledige stillingar er det samla talet på utførte årsverk i Datatilsynet berekna til 51,63.

Dette er noko høgare enn året før.

Datatilsynet blir leidd av direktør Bjørn Erik Thon, som vart tilsett på åremål i 2010. Åremålet vart fornya for seks år i august 2016. Leiargruppa bestod i meldingsåret av éin mann og tre kvinner.

Vidare hadde tilsynet ved årsskiftet fem seksjons- leiarar: to menn og tre kvinner. I Datatilsynet sett under eitt var det 58,6 prosent kvinner og 41,4 pro- sent menn.

Koronapandemien gjorde at Datatilsynet måtte endre dei planlagde prioriteringane for meldingså- ret. For eksempel hadde Datatilsynet planar om å prioritere tilsynsverksemda høgt, men såg seg nøydd til å nedprioritere dette. I staden har Datatil- synet prioritert arbeidet med personvernproblema- tikk som oppstod som ein konsekvens av pande- misituasjonen.

Datatilsynet består i dag av fire avdelingar. I til- legg til administrasjonsavdelinga og ei avdeling for kommunikasjon og samfunnskontakt har tilsy- net ei avdeling for teknologi, analyse og sikkerheit og ei avdeling for regelverksetterleving, interna- sjonal samhandling og sanksjonar.

Innføringa av personvernforordninga i 2018, og merksemda om dei svært høge gebyra som kan påleggjast ved brott på regelverket, har ført til eit betydeleg tal på avviksmeldingar til Datatilsy- net. Avviksmeldingar er meldingar om brott på personopplysningssikkerheita, og personvernfor- ordninga stiller krav om at slike brott skal meldast til datatilsynsmyndigheita. Dette speglar seg av i den auka saksbehandlingsmengda knytt til avviks- meldingar som tilsynet har fått. I 2020 fekk Data-

(19)

tilsynet 2009 avviksmeldingar, mot 1893 i 2019, 1275 i 2018 og berre 349 i 2017. Talet på melde avvik er dermed høgare enn tidlegare år, men Datatilsynet meiner at det kan sjå ut som at talet er i ferd å stabilisere seg på rundt 2000 tilfelle i året.

Avviksmeldingane gjeld alt frå menneskelege feil som rammar éin eller nokre få personar, til målretta hackaråtak med mange hundre tusen ramma. Ein ikkje ubetydeleg andel av meldingane gjeld mindre alvorlege avvik, som at personopp- lysningar er sende til feil mottakar. Det høge talet på avviksmeldingar skriv seg neppe frå at det skjer fleire feil enn tidlegare, men truleg heller eit auka medvit om plikta til å melde avvik. Det omfattande talet på avvikssaker har ført til auka ressursbruk for tilsynet. Samtidig er sakene ei god kjelde til kunnskap, slik at Datatilsynet kan allokere ressursar til tilsyn, rettleiings- og kom- munikasjonsarbeid der det trengst mest.

31 prosent av avviksmeldingane kjem frå kom- munesektoren, mens 23 prosent stammar frå finanssektoren. Datatilsynet påpeiker i årsrappor- ten at sjølv om ein sektor melder om mange avvik, betyr ikkje dette nødvendigvis at sektoren er ein

«personvernversting». Eit høgt tal på avvik kan komme av at sektoren behandlar store mengder personopplysningar og har gode rutinar for å melde inn avvik. Datatilsynet legg samtidig til at det kan vere grunn til å tru at det framleis er mør- ketal, og at ein del avvik ikkje blir melde inn.

I tillegg til ein betydeleg auke i talet på avviks- meldingar har internasjonalt arbeid auka i omfang og viktigheit sidan personvernforordninga vart gjennomført i norsk rett. Til liks med tidlegare år har Datatilsynet prioritert deltaking og engasje- ment i EUs personvernarbeid, mellom anna å delta i Personvernrådet. Datatilsynets internasjo- nale arbeid er nærmare omtalt i punkt 2.5.

Datatilsynet registrerte eit rekordhøgt tal på nye saker i meldingsåret, totalt 3271, samanlikna med 3118 nye saker i 2019 og 2654 i 2018. Også datatilsyna i mange andre EØS-land har opplevd ein auke i saksomfanget dei siste åra. Saks- mengda i Datatilsynet har vore stigande sidan per- sonvernforordninga vart gjennomført i norsk rett.

Truleg kjem auken av ei større interesse og meir merksemd om både personvernrettar og -plikter i samfunnet. Ei anna årsak kan vere at effektiv handheving dei siste åra, for eksempel via auka sanksjonering, viser at «det nyttar» å klage, og at fleire derfor nyttar denne retten.

Datatilsynet har i arkivsystemet registrert at det vart gjort 252 vedtak i 2020, men opplyser samtidig at talet er noko usikkert. Datatilsynet

meiner at talet i realiteten er høgare ettersom det ikkje omfattar saker der tilsynet har påpeikt kva plikter ei verksemd har, utan at det er gjort eit for- melt vedtak. Talet på registrerte vedtak er noko lågare enn i 2019, da det vart gjort 285 vedtak, men marginalt høgare enn i 2018, da det vart gjort 246 vedtak.

Departementet vil føye til at Datatilsynet sidan 2018 har gjort vesentleg færre enkeltvedtak enn i åra før personvernforordninga tredde i kraft.

Dette er mellom anna ein konsekvens av at den generelle konsesjonsplikta vart avvikla da person- opplysningsloven 2018 tredde i kraft. Ei anna årsak til nedgangen i talet på vedtak er at dei nogjeldande reglane ikkje krev at tilsynet gjev førehandsgodkjenning ved overføring av person- opplysningar til tredjestatar i medhald av EU-kom- misjonens standardkontraktar.

Berre 38 av dei 252 vedtaka Datatilsynet gjorde i meldingsåret, vart påklaga. Sjølv om talet er lågt, har talet på klager gått opp samanlikna med i 2019, da 23 av 285 vedtak vart påklaga. I 20 av dei påklaga sakene var den klagande parten ein privatperson. I dei resterande sakene var klagaren ei offentleg eller privat verksemd. I to av klagesa- kene gjorde Datatilsynet om vedtaket sitt under klagebehandlinga. 22 av sakene vart sende til Per- sonvernnemnda for klagebehandling, og 3 av desse gjaldt gebyr for brott. Seks klagesaker var framleis til behandling i Datatilsynet ved overgan- gen til 2021. Av dei 38 totale klagesakene gjaldt 8 avslag på krav om innsyn etter offentleglova. Data- tilsynet gjorde om vedtaket sitt i fem av desse sakene, éi klagesak vart trekt, mens to saker vart sende til Kommunal- og moderniseringsdeparte- mentet for klagebehandling.

I 2020 tok Datatilsynet tolv avgjerder om gebyr for brott og éi om tvangsmulkt. Sakene gjaldt brott på krava i personvernregelverket som hand- lar om kameraovervaking, informasjonssikker- heit, overvaking på arbeidsplassen og innhenting av kredittopplysningar. Det høgaste gebyret var på 3 mill. kroner og vart pålagt Bergen kommune (Vigilo-saka). Det lågaste gebyret var på 75 000 kroner og gjaldt innsyn i e-postkassa til tilsette (vurdert etter personopplysningsloven 2000). I 2020 utferda Datatilsynet til saman gebyr for brott på dryge 5,87 mill. kroner. Berre tre av sakene om gebyr for brott vart påklaga til Personvernnem- nda.Departementet er tilfreds med arbeidet Data- tilsynet har utført i meldingsåret. Datatilsynet har evna å tilpasse og justere verksemda ikkje berre i samsvar med sakstilfanget og sakstypar etter per- sonvernregelverket, men som følgje av korona-

(20)

pandemien òg. Også i 2020 har Datatilsynet vist eit breitt engasjement på ei rekkje arenaer og fag- område, irekna om nye problemstillingar som har oppstått som følgje av pandemisituasjonen. Tilsy- net har medverka til å setje personvern på dagsor- denen i ei rekkje samanhengar, både nasjonalt og internasjonalt, og vore ein aktiv deltakar i den offentlege debatten om ulike personvernspørs- mål.

4.2 Budsjettet og rammevilkåra til Person- vernnemnda

Personvernnemnda er klageorgan for vedtak gjorde av Datatilsynet. Nemnda består av sju med- lemmer med faste varamedlemmer, alle oppnem- nde for fire år om gongen. Den sitjande nemnda er oppnemnd for perioden 2021 til 2024. Nemnda blir leidd av sorenskrivar Mari Bø Haugstad.

Personvernnemnda hadde i 2020 ei budsjett- ramme på 2 683 000 kroner og har i meldingsåret brukt 1 799 277 kroner. Dette gav eit mindrefor- bruk på 883 723 kroner. Mindreforbruket kjem hovudsakleg av at nemnda, på grunn av korona- pandemien, har avvikla færre møte i 2020 enn planlagt, og at møta har vore gjennomførte som digitale møte utan reisekostnader. Nemnda hadde

vidare sett av ein del midlar til deltaking på kurs og konferansar som ikkje vart noko av i 2020, også som følgje av pandemien. Løyvinga er, som i tidlegare år, nytta til innkjøp av litteratur og tenes- ter, deltaking på digitale kurs, honorar og reise- godtgjersle til medlemmene i nemnda og lønn til sekretariatet.

Personvernnemndas sekretariat består av éin medarbeidar i 100 prosent stilling. Sekretariatet høyrer administrativt til i Kommunal- og moderni- seringsdepartementet. Departementet har likevel inga fagleg instruksjonsmyndigheit over sekreta- riatet.

Departementet vurderer det slik at Person- vernnemnda har brukt den tildelte løyvinga til- fredsstillande og har gjennomført oppgåvene sine på ein god måte i 2020.

Kommunal- og moderniseringsdepartementet t i l r å r :

Tilråding frå Kommunal- og moderniserings- departementet 26. august 2021 om Datatilsynets og Personvernnemndas årsrapportar for 2020 blir send Stortinget.

(21)

Vedlegg 1

Datatilsynets årsrapport for 2020

Tall og tendenser fra Datatilsynets virksomhet

1 Leders beretning

For Datatilsynet har 2020 vært et unntaksår, slik det har vært for hele samfunnet vårt. De priorite- ringene vi gjorde da vi planla året, måtte brått kas- tes om da samfunnet ble stengt ned den 12. mars.

Det er nå to og et halvt år siden personvernfor- ordningen trådte i kraft. Det har vært en prioritet for oss å bygge ny forvaltningspraksis etter det nye regelverket, få på plass en ny tilsynsmetodikk, utvikle rutiner for behandling av ulike sakstyper og jobbe for å få på plass akkreditering og sertifi- sering. Mye av dette arbeidet har vært samordnet med det europeiske Personvernrådets veiledere og praksis. Vi har også jobbet for å få på plass bedre statistikkverktøy, mer strømlinjeformet kla- gebehandling, en egen tipsbase, skjema for mel- ding av avvik, ny prosess for virksomhetsplanleg- ging, ny strategi, nytt system for intern rapporte- ring og bedre interne sikkerhetsløsninger. Det har vært krevende å få alt dette på plass i dette spesielle koronaåret, både fordi det rett og slett er store prosesser, fordi utviklingsarbeid møter andre utfordringer når vi alle jobber hjemmefra og fordi vi har opplevd stor pågang og hatt krevende enkeltsaker til behandling. Tross dette, og noen forsinkelser, har vi enten sluttført eller hatt god framdrift i alle disse prosessene.

Noen prosesser har imidlertid blitt satt på vent. Planen var blant annet å evaluere omorgani- seringen vi gjennomførte i 2019, og å gjennomføre en bred arbeidsmiljøundersøkelse. Vi valgte å utsette evalueringen og gjennomførte en begren- set arbeidsmiljøundersøkelse om utfordringer knyttet til hjemmekontor.

Når det gjelder eksterne aktiviteter, har koro- naen så absolutt satt sitt preg på vår arbeidshver- dag og våre prioriteringer. Nytt for 2020 var at vi skulle gjennomføre prioriterte tilsyn. Tanken var, og er, at disse skal gis høy prioritet, bemannes med solide ressurser, ha stor innvirkning på den enkelte sektor eller marked og være forankret helt til topps i organisasjonen vår. Vi skulle også gjennomføre tre prioriterte prosjekter. Tre av de

fire tilsynene ble gjennomført, mens ett ble «byt- tet ut» med tilsynssaken mot Smittestopp. Av pro- sjektene ble ett nedskalert, ett prioritert bort og ett gjennomført. En rekke aktiviteter som sprang ut av koronasituasjonen ble prioritert i stedet, for eksempel veiledning om digital undervisning, utstrakt veiledning og kommunikasjon om spørs- mål knyttet til korona og SMS-varslinger og -tellin- ger.

Med prioriteringsøyne har imidlertid Smitte- stopp-saken hatt størst betydning. Når vi tok den opp til behandling, var det av stor betydning å sette sammen et tverrfaglig team med høy kompe- tanse, samt sørge for god framdrift. Dette førte til at andre saker, blant annet et av tilsynene, ble pri- oritert bort.

Men også andre forhold enn koronasituasjo- nen har hatt betydning for arbeidet og resultat- oppnåelsen vår i 2020. Vi har opplevd en økning i antall klagesaker, mens antall innmeldte avvik har holdt seg på samme høye nivå som i 2019. Mange saker har fått mye omtale i media, blant annet den nevnte Smittstopp-appen, «SMS-overvåking» og overvåking i arbeidslivet. Det har også vært et betydelig behov for informasjon og veiledning.

Når det gjelder prioritering av temaer og sekto- rer, har vi som planlagt hatt et særlig fokus på skolesektoren. Vi har behandlet store enkeltsaker (blant annet knyttet til avvik), gjennomført en run- debordskonferanse og deltatt på et stort antall digi- tale arrangementer. Vi har et bestemt inntrykk av at arbeidet vårt har gitt resultater. Vi opplever at både enkeltkommuner og kommunenes organisa- sjoner og myndighetsorganer på området, vier per- sonvern større oppmerksomhet og har det høyere på dagsorden enn tidligere. Det har vært en liten forskyvning i fremdriftsplanen, men prioritering og fremdrift er stort sett opprettholdt.

Også helsesektoren har vært prioritert, og her har det viktigste vært å behandle avvik og enkelt- saker, samt påvirke, eller være sparringspartner, i de store utviklingsløpene som nå pågår (for eksempel Akson, helseanalyseplattformen og hel- sedataplattformen). Enkelte saker har tatt noe len-

Referanser

Last ned nå ( PDF - 106 sider - 4.09 MB )

Outline

Annen vesentlig aktivitet 4 Styring og kontroll i virksomheten Årsmelding 2020 Personvernnemnda 7 Saker som ble behandlet i 2020

RELATERTE DOKUMENTER

Meld. St. 1 (2020 – 2021) Melding til Stortinget

Flere land, som Norge, Sverige og Danmark, har senere nedjus- tert det samlede omfanget av tiltak ettersom utnyttelsesgraden har vært lavere enn ventet, blant annet som følge av

Meld. St. 38 (2020 – 2021) Melding til Stortinget

Blankholm-utvalget påpeker at en øvre kostnads- grense for tiltak i den kommunale helse- og omsorgstjenesten i praksis vil innebære at det for mange brukere vil være vanskelig

Meld. St. 37 (2020 – 2021) Melding til Stortinget

Styrke innsatsen for utvikling av bedriftsnettverk Sametinget ser utvikling av større og gode fag- nettverk som et viktig grep i omstillingen av næringslivet i de samiske

Meld. St. 31 (2020 – 2021) Melding til Stortinget

Nord-Norge Finans Forum ASA fikk tillatelse til å drive virksomhet som bank i januar 2019. Ettersom konsesjonsvilkårene ikke ble oppfylt innen fristen, kalte

Meld. St. 13(2020 – 2021)Melding til Stortinget

funn i 2050 og oppnå måla sine under Parisavta- len, skal Noreg vere klimanøytralt frå og med 2030. Ved behandlinga av proposisjonen om samtykke til ratifikasjon av

Meld. St. 36 (2020 – 2021) Melding til Stortinget

Regjeringen vil bidra til utviklingen på norsk sokkel gjennom å videreføre en petroleumspoli- tikk som legger til rette for lønnsom produksjon av olje og gass i et

Meld. St. 40 (2020 – 2021) Melding til Stortinget

Delmål 17.16: Styrke det globale partnerskapet for bærekraftig utvikling og understøtte det med partnerskap mellom flere interessenter som kan mobilisere og dele kunnskap,

Meld. St. 27 (2020 – 2021) Melding til Stortinget

I det nordiske samarbeidet på helse- og sosial- området der det i 2020 blitt utvekslet informasjon om smittesituasjonen og smitteverntiltak i forbin- delse med